FitMetrix用户数据通过无密码的ElasticSearch服务器集群公开

一名安全研究人员发现，通过一组ElasticSearch服务器，FitMetrix用户数量未知的数据暴露在互联网上。

这些服务器没有设置访问密码，允许任何知道其IP地址的人访问大量信息，其中一些包含了FitMetrix用户的个人数据。

根据其网站，FitMetrix是一家为健身房、工作室、企业健康项目和医疗保健专业人士提供心率监测软件的公司。该公司成立于2013年，今年早些时候被Mindbody, Inc.收购，这是另一家为健康服务行业提供大量基于云的商业管理软件的公司。

暴露的FitMetrix服务器集群是由网络安全公司Hacken的网络风险研究主管鲍勃•迪亚琴科(Bob Diachenko)发现的。

Diachenko告诉ZDNet, ElasticSearch服务器集群——一种用于支持分布式搜索技术的技术——包含数亿条数据记录。

Diachenko告诉ZDNet，并不是所有的档案都是客户档案，有些档案还包含设施信息和其他数据点，但当用户档案被曝光时，它们通常包含用户的姓名、性别、出生日期、电子邮件、用户名、身材尺寸和各种FitMetrix程序指标。见下图。

Diachenko告诉ZDNet，他无法确定ElasticSearch服务器集群中暴露的用户详细信息的确切数量，但是，服务器似乎总共包含超过119GB的数据。在证券交易委员会(SEC)的一份文件中，MindBody声称每月为3500多万活跃用户提供服务，但目前尚不清楚其中有多少人在使用其FitMetrix系统。

此外，研究人员还表示，服务器公开了一个API密钥，该密钥似乎用于管理FitMetrix服务器基础设施。

最后，他还发现了一封勒索信，似乎是远程攻击者写在ElasticSearch服务器上的。这封信内容如下:

在ElasticSearch服务器中留下的赎金信息最早出现在2017年1月，当时黑客意识到他们可以将这些信息放置在暴露的服务器中，欺骗服务器所有者支付赎金。在大多数报道的案件中，攻击者并没有删除或加密数据，只是希望恐吓受害者支付赎金。

尽管如此，这张勒索纸条的存在意味着FitMetrix服务器暴露在网上，至少有两个人——迪亚琴科和勒索者——扫描并发现了它。

上周识别了服务器的研究人员负责任地向Mindbody披露了暴露的服务器。经过几次与该公司联系的失败尝试后，Mindbody昨天一发现这个问题就立即保护了服务器。

“我们最近意识到，与在线存储的FitMetrix技术相关的某些数据可能已经被公开曝光。MINDBODY的首席信息安全官Jason Loomis在一份通过电子邮件提供给ZDNet的声明中说。

“目前的迹象表明，这些数据包括由MINDBODY于2018年2月收购的FitMetrix管理的一部分消费者，不包括任何登录凭证、密码、信用卡信息或个人健康信息，”他补充说。

“MINDBODY非常重视客户和消费者数据的隐私和安全，我们将利用这一事件不断改善我们的安全状况。”